Nummer: 6

MINIMUMSGRÆNSE FOR ANMELDELSE AF SIMPLE DATABRUD TIL DATATILSYNET

Mange simple databrud anmeldes til Datatilsynet, hvilket medfører store omkostninger for virksomhederne. Dette er i mange tilfælde ikke er proportionalt med formålet. Regelforum anbefaler, at der indføres en minimumsgrænse for anmeldelse af simple databrud til Datatilsynet, for at lette virksomhedernes håndtering af simple og klart afgrænsede databrud.

Dato:
22. juni 2020
Type af anbefaling:
National lovgivning
Tema:
GDPR
Ansvarlig ministerium:
Justitsministeriet
Status på anbefaling:
Følges

Databeskyttelsesforordningen indeholder regler for, hvordan brud på persondatasikkerheden skal håndteres og pålægger samtidig den dataansvarlige en række forpligtelser. 

En af forpligtelserne er, at alle databrud skal anmeldes til Datatilsynet uden unødig forsinkelse og inden 72 timer, medmindre ”det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder”, jf. forordningens artikel 33, stk. 1. 

Sondringen mellem anmeldelsespligtige databrud og ikke-anmeldelsespligtige databrud er vanskelig for virksomhederne at håndtere i praksis. Blandt andet fordi der skal foretages en sondring mellem en sandsynlig risiko vs. en usandsynlig risiko, og fordi der savnes en minimumsgrænse for, hvilke ”små” databrud der i al fald ikke skal anmeldes, fordi der er tale om en usandsynlig risiko.

Mange databrud er ”små” forstået på den måde, at de kun berører kun én enkelt person og kun vedrører ikke-følsomme oplysninger, fx kontaktoplysninger. Sådanne databrud skal naturligvis håndteres og indføres i virksomhedens interne dokumentation for brud på persondatasikkerheden (den såkaldte log over samtlige databrud). Dog er det ikke proportionalt – for hver enkelt af sådanne helt ”små” databrud – at opstarte en online anmeldelse uden unødig forsinkelse og inden 72 timer.

Fordi en minimumsgrænse savnes, vælger mange dataansvarlige at holde sig på den sikre side og anmelder hellere for meget end for lidt. Det er ressourcekrævende, da hvert enkelt databrud skal anmeldes særskilt i indberetningsløsningen på virk.dk. Indberetningsløsningen på virk.dk. indeholder et omfattende spørgeskema, som skal udfyldes uden unødig forsinkelse og inden en frist på 72 timer (weekender og helligdage tæller med heri, hvilket i realiteten betyder, at fristen for den ansvarlige medarbejder kan være ganske kort). Spørgeskemaet skal desuden udfyldes i én session. Det er altså ikke muligt at gemme og gå tilbage til anmeldelsen igen på et senere tidspunkt, hvorfor medarbejderen på forhånd skal sikre sig tilstrækkelig med sammenhængende tid til at indgive anmeldelsen. 


 

Anbefaling

For at lette virksomhedernes byrde med håndtering af simple og klart afgrænsede databrud med oplysninger om én eller ganske få berørte, anbefaler Regelforum, at der indføres en minimumsgrænse for anmeldelse af simple databrud til Datatilsynet.

Minimumsgrænsen skal ideelt set udformes således, at simple og klart afgrænsede databrud i fremtiden ikke længere vil skulle anmeldes til Datatilsynet (herved opnås den største byrdelettelse). 

Minimumsgrænsen kan dog også udformes således, at simple og klart afgrænsede databrud i fremtiden vil kunne puljes og samles i en fælles anmeldelse med et vist interval (herved opnås også en byrdelettelse).

Simple og klart afgrænsede databrud er eksempelvis, hvor ikke-følsomme oplysninger er sendt til den forkerte modtager, og hvor de fremsendte oplysninger kun vedrører én enkelt person, fx kontaktoplysninger på denne person. Typeeksemplet på sådanne databrud er en menneskelig fejltastning af en enkelt e-mailadresse. 

Potentiale 

En minimumsgrænse for anmeldelse af simple databrud har potentiale til at lette GDPR-byrden på tværs af sektorer. Alle danske virksomheder – store som små – skal nemlig i dag anmelde alle databrud til Datatilsynet uden unødig forsinkelse og inden 72 timer, medmindre ”det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder”, jf. databeskyttelsesforordningens artikel 33, stk. 1. 

Relevant regulering

Den relevante regulering er databeskyttelsesforordningens artikel 33, stk. 1, som bestemmer: 

”Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til den tilsynsmyndighed, som er kompetent i overensstemmelse med artikel 55, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.”

Svar til Regelforum

Anbefalingen vil blive behandlet som led i Justitsministeriets igangværende nationale evaluering af databeskyttelsesreglerne. I den forbindelse vil ministeriet således undersøge, om der inden for databeskyttelsesforordningens rammer kan indføres en minimumsgrænse for anmeldelse af simple databrud til Datatilsynet.

Evalueringen forventes offentliggjort primo 2021. Der tages forbehold for et evt. behov for ændringer i selve regelgrundlaget, da dette i så fald vil betyde en længere implementeringsperiode.